PDA版 - 小米手机再被踢爆资料频传新加坡神秘伺服器 (转载) |
|---|
|
|
|
|
|
|
l****z
发帖数: 29846 | 1 【 以下文字转载自 Arizona 讨论区 】
发信人: lczlcz (lcz), 信区: Arizona
标 题: 小米手机再被踢爆资料频传新加坡神秘伺服器
发信站: BBS 未名空间站 (Tue Sep 9 07:47:44 2014, 美东)
资讯安全专家发现,早前被揭发擅自上传用户资料到北京伺服器的国产小米手机,虽然
生产商已经就事件道歉并更新程式堵塞漏洞,但手机资讯仍然自动频密外泄,接收的伺
服器这次不在北京,而在新加坡一个身份不明的租用伺服器
苹果日报委托资讯保安专家杨和生及资讯安全公司Nexusguard进行测试,发现更新后的
红米1S,即使在静止状态,每隔半小时便会自动上传手机资料到新加坡一个租用的伺服
器。小米回应称,与伺服器连线只为客户更新日历、天气等系统,不涉私隐。业界与专
家直指情况不寻常,有泄漏客户私隐之嫌。
上月有电脑保安公司发现,小米3及红米1S两款手机会将用家的手机序号及电话号码,
传送到小米位于北京的伺服器;而以手机发送短讯时,更会连接收短讯者的电话也传到
同一伺服器。事后小米发声明道歉,并向用户提供OTA更新包,指已解决有关问题,声
称安装后便可“安心使用”。该更新包适用于所有小米手机。
苹果日报于是委托互联网协会网络保安及私隐小组召集人杨和生,为香港版红米1S手机
进行为期13天的监察测试;供测试的红米是全新机,开封后立即连接由杨设立的WiFi网
络,以便监察手机有否向互联网发放资料。
监察期间,手机一直维持闲置状态,只会偶尔进行拍照或新增通讯录等不涉及上网等动
作,也没有登记及开启任何云端或互联网服务。
专家发现,红米手机在未安装更新包前,每日早上会自动将手机资料上传到北京伺服器
。根据IP,伺服器登记者为“北京蓝讯通信技术有限责任公司”,该公司主要从事中国
互联网传输工作,为不少政府部门及国企提供服务;今年5月更与官媒人民网在北京合
作设立数据中心。
至于被红米上传的手机资料,全数被加密,杨和生暂未能破解。但由于上传的档案大小
由893B至30KB不等,杨认为不寻常,以此估计,被传送的有可能包括通讯录在内等文字
资料。
报导指,其后杨再为红米安装声称已堵塞漏洞的OTA更新包,发现手机已没有再将资料
传到北京,但就改为每隔半小时自动将手机资料上传到位于新加坡的Amazon伺服器。同
样,上传的资料也被加密,档案大小由143B至4KB不等,较更新前细,有点像大的档案
被拆小,然后分批传送,因此上传时间频密,“同样是极不寻常”。
报导又指,该Amazon伺服器,属公开的云端伺服器,可供任何人士租用,除了可作一般
资料贮存外,租户也可以加装运算程式。业内人士指出,该伺服器方便隐藏身份,近年
吸引不少网络黑客租用。
报导指,最后记者委托资讯安全公司Nexusguard Consulting,将红米手机的原厂作业
系统(Rom)全数删除,重新安装由中国第三方人士设计的作业系统,再以同一方法监
察手机活动,结果发现红米手机已没有上传资料到北京蓝讯或Amazon新加坡的伺服器,
改为每日一次将资料上传到设计者的伺服器。换言之,之前传送用户资料到小米的伺服
器,是小米在手机所安装的系统造成。
报导引述小米科技回应称,安装更新包后,已经不会再传输用户的个人资料到小米伺服
器;至于手机与小米伺服器的连线,内容包括日历、天气、软件更新及系统提醒等互联
网服务,并不涉及用户私隐。
不过,香港资讯科技商会荣誉会长方保侨认为,红米手机的上传动作“不正常”。他指
一般手机有可能会上传系统资料到伺服器,“但频率不会如此频密”。方保侨又称,一
般新机如没有申请或开启服务,却出现大量自动上传动作,让人怀疑别有内情,促小米
尽快澄清事件。 | u****d
发帖数: 23938 | 2 “他指 一般手机有可能会上传系统资料到伺服器,“但频率不会如此频密”。”
难道就不能做的不密集一点?
【在 l****z 的大作中提到】
: 【 以下文字转载自 Arizona 讨论区 】
: 发信人: lczlcz (lcz), 信区: Arizona
: 标 题: 小米手机再被踢爆资料频传新加坡神秘伺服器
: 发信站: BBS 未名空间站 (Tue Sep 9 07:47:44 2014, 美东)
: 资讯安全专家发现,早前被揭发擅自上传用户资料到北京伺服器的国产小米手机,虽然
: 生产商已经就事件道歉并更新程式堵塞漏洞,但手机资讯仍然自动频密外泄,接收的伺
: 服器这次不在北京,而在新加坡一个身份不明的租用伺服器
: 苹果日报委托资讯保安专家杨和生及资讯安全公司Nexusguard进行测试,发现更新后的
: 红米1S,即使在静止状态,每隔半小时便会自动上传手机资料到新加坡一个租用的伺服
: 器。小米回应称,与伺服器连线只为客户更新日历、天气等系统,不涉私隐。业界与专
| w********r
发帖数: 1825 | | g**8
发帖数: 4951 | 4 我几个星期前曾经预告过, 面对中国手机品牌的崛起,棒子要出手了。果然,棒子又
是开闭门干部大会,取消休假,退回奖金,搞歇斯底里的所谓危机运作,棒子那个病危
甚至已死密不报丧的总裁的儿子,还特意访问东莞,重新拉拢他们一度抛弃的中国生产
商,之前三星对他们格外防范矮化,见我最近关于三星手机电池产地标注的分析,而三
星现在全部搬到越南后,中越关系紧张,我这样的网络愤青一直在呼吁中国经济上制裁
越南,他们想如果中方听了民间的建议,那样他们就麻烦了。可惜的是,中方不听自己
的民意,反过来还格外优待他们!他们访问北京,一面拉拢高层,一面下三烂手法层出
不穷,对付华为,小米,不一而足。美国主流媒体最早开足马力第一时间炒作华为t-
mobile新闻的是纽时,记者正是一个被指认有韩国政府和财阀背景的韩裔记者。而这个
时候那个总裁公子访问北京了,呵呵,其父,就是那个可能已经死了的总裁,一向极度
蔑视敌视中国,从来不去中国!
这就是他们歇斯底里的危机运作。
现在又在搞小米了,看所附新闻。
这个新闻里说来说去,就是里面的部分app在定期和远端服务器连接。我们知道,别的
不说,就android下, weather的accuweather连接,就是最普遍的里,实时天气,半个
小时频率的都不够,好了,只要你有任何与远端服务器的连接,哪怕完全legit的应用
用途,只要你服务器在中国,就黑你说你是恶毒,你怕被人说,就把服务器改在新加坡
,还不行,那放哪里? 放美国nsa那里?
大前提是什么大家知道吗? 小米要国际化,中国的手机要国际话,有些人丧心病狂,
歇斯底里,咬牙切齿,恨之入骨了。中国人觉得不就是卖个手机吗,怎么这么来劲,错
! 恰恰是目前为止,三星和棱镜的合作,让他们可以任意控制这些手机用户,如果他
们都改用了不和他们彻底恶毒合作的品牌如华为小米,从三星到棱镜,就下手回应了。
无耻,恶毒之极!
========
早前被揭发擅自上传用户资料到北京伺服器的国产小米手机,接收的伺服器这次不在北
京,而在新加坡一个身份不明的租用伺服器
小米回应称,与伺服器连线只为客户更新日历、天气等系统,不涉私隐。 |
|
|
|
|
|
|
